- 博客(7)
- 收藏
- 关注
RSS订阅原创 域--NTLM与Kerberos
Kerberos 是 Windows Active Directory (AD) 的默认认证协议,采用票据(Ticket)机制实现安全身份验证。加密的数据块,用于证明身份,包含客户端标识、会话密钥、时间戳等信息。服务票据,用户使用该票据请求对应的服务,通过验证后获得服务访问权限。认证符和票据均含时间戳,有效期通常 5 分钟,防重放攻击。被 Kerberos 认证的实体(如用户、服务),由。用服务账户哈希加密,确保仅目标服务能解密。票据授权票据,票据中心 授予的 票据。,是 Kerberos 信任链的根。
2025-05-31 17:50:35
1773
原创 内网攻击流程--添加用户
本文介绍了Windows系统下隐蔽添加用户的几种免杀方法。1. 直接调用Win32 API绕过常规检测(火绒不拦截但360会拦截),提供Go语言实现示例;2. PowerShell方案包含两种方式:原始ADSI命令(易被日志记录)和管道输入方式(相对隐蔽);3. 激活系统Guest账户并提权(360不拦截但火绒拦截)的隐蔽性优势。文章还分析了各方法的适用场景(WebShell阶段/C2上线后/横向移动)及检测规避要点(禁用日志、隐藏用户命名等),特别指出Guest账户因其系统内置特性具有特殊的隐蔽优势。
2025-05-27 10:00:00
965
原创 内网攻击流程-开启远程桌面3386
攻击者常用远程桌面(RDP)作为横向移动手段。主要操作包括:1)信息收集阶段检查RDP端口(默认3389或修改值)及服务状态(注册表键值0x0表示已开启);2)横向移动阶段通过注册表/WMIC命令启用远程桌面服务、修改端口(需重启生效)、配置多会话和网络认证;3)需管理员权限执行,建议同时配置防火墙放行端口。关键命令涉及注册表操作和WMIC调用,完成修改后可通过重启服务立即生效。
2025-05-26 21:59:24
393
原创 内网攻击流程
找口子——写webshell——或者命令执行powershell上线(免杀)——或执行下载上线(免杀)———提权——维持权限——代理到内网——windows 3389连上——扫描内网——信息收集——横向移动。在自己本机把certutil.exe重命名为1.exe传到受害机,命令的时候就可以用 1.exe xxxx进行下载。里面有很多可执行程序的标签这里的每个标签都有自己的用法,可能可以达到bypass的效果。了,原因是这些程序本身执行的命令的行为本身就相对敏感一些。包含已上传的恶意文件。
2025-05-26 21:54:12
1807
原创 Jdbc反序列化&mysql_faker工具
JDBC(Java Database Connectivity)是Java语言中用于与关系型数据库交互的API。JDBC反序列化漏洞的原理在于,当MySQL服务器配置了autodeserialize=true参数时,会自动反序列化二进制数据。攻击者可以通过控制输入参数,构造恶意的数据库地址,使得JDBC客户端在反序列化时执行恶意代码,可能导致远程代码执行(RCE)。利用此漏洞的条件包括:服务代码中存在JDBC包、存在可控的MySQL地址功能、以及存在可利用的Gadget(如commons-collectio
2025-05-11 16:56:42
1032
原创 JAVA反序列化系列--CC链1分析详解
本文详细介绍了如何通过Java反序列化漏洞利用Commons Collections库中的Transformer链(CC1链)实现任意命令执行。首先,配置Maven项目并添加commons-collections依赖,准备JDK源码以便调试。接着,分析了InvokerTransformer、ChainedTransformer和ConstantTransformer三个关键类的作用及其在漏洞利用中的角色。通过反射调用Runtime.getRuntime(),绕过类型检查,并构造Transformer链
2025-05-09 16:27:41
2071
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人